XSS対策パッチを当ててもRailsに残る脆弱性 - 岩本隆史の日記帳(アーカイブ)
どのような脆弱性か 先日書いた「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由」という記事に、奥さん(id:kazuhooku)より、下記のブックマークコメントをいただきました。 たとえばブログの場合、誰かに壊れたUTF-8を含むコメントを書き込まれちゃうと、そのブログ全体にアクセスできなくなる(最新コメント一覧に出るから)んじゃないか。XSSが発生しないだけで脆弱性があることは変わらない はてなブックマーク - kazuhookuのブックマーク / 2009年9月26日 まったくおっしゃる通りです。アプリケーションの構成によっては、サービス自体が提供できなくなる可能性があります。 このような脆弱性を何とよぶのでしょうか。すでに統一的な呼称があるのかどうか、私は知りません。サービス不能という観点からは広義のDoS脆弱性といえるのかもしれません。 追記(2009-0
高密度小池 / OreOre Twitter Search を作りました
OreOre Twitter Search を作りました http://twitter.ssig33.com/ OreOre Twitter Search 俺が俺の為に作った Twitter 検索です。今のところ検索出来るというだけで、他は何も出来ない感じです。 現状フロントエンドもバックエンドも Rails で書かれています。 フロントエンドは、 nginx の裏で unix socket で thin が動いているとかそんなので、まあ普通の Rails です。検索には Tritonn を使っています。 バックエンドでは、 AP4R で非同期化およびタスクの分割を行なって、 EventMachine で並列化をさせている感じです。現在、 2 万人弱をかなりリアルタイムに近い形でクロールしていますが、非同期化と並列化によってそれなりにスケールするクローラーになっていますので、
スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性
Rubyのオフィシャルサイトは6月10日、まつもとゆきひろ氏が個人で開発しているオブジェクト指向スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性が存在すると発表した。 今回確認された脆弱性は、Ruby1.8系の1.8.6-p368とそれ以前のすべてのバージョン、および1.8.7-p160 とそれ以前のすべてのバージョンに存在する。なお、1.9系はこの問題の影響を受けない。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者は巨大なBigDecimalの数値を変換することによりsegmentation faultsを引き起こせる可能性がある。このため、1.8.6-p369またはruby-1.8.7-p173にアップグレードするよう呼びかけている。
twitterがrubyからscalaへスイッチ - huixingの日記
twitterが2007年後半に先進的なユーザーに急速に受け入れられて以後、そのruby on railsアーキテクチャーはたびたびトラブルに見舞われてきた。しかし2008年中盤にtwitterがこっそり一部コードをscalaにポートして以来トラブルはなくなった。Twitterの開発者であるAlex Payneによれば普通に考えられているRuby on RailsやPHPやPythonなどいわゆるアジャイルな言語はすばやい変化に対応するには見合っているが非同期的プロセスのような力仕事には、スイス連邦工科大学ローザンヌ校のマーティン・オダースキーMartin Oderskyにより開発されたscalaが合っているという。2007年のある時点でtwitterにおけるrubyベースのメッセージ・キュー・システムが増えるプロセスに対応できずに壁にぶちあたったことに気付いた。2008年中盤にはメッセー
SKIP正式公開版(ver.1.0.0)をリリース | 社内SNSといえば、オープンソースの「SKIP」
SKIP ver.1.0をリリースします。RCではなく、正式公開版になります。ver.0.9は、技術者が運用することを前提としたベータ版という位置付けでした。ver.1.0では、技術者でない方でも運用できるように改善した正式版になります。※現在マニュアル整備中につき、一部の操作方法について、わかりにくい点があります。 追って整備を進めていきますので、今しばらくお待ち下さい。デモは、こちらから。ダウンロードは、こちらから。セットアップ手順は、こちらを確認して下さい。 以下で、ver.0.9からの主な変更点について、紹介します。 手軽にメンテナンスできるようになりました ユーザを追加したり、システムの設定を変更したり、メッセージを書き換えたりといったメンテナンスは、SKIPを運営する上で日々発生します。ver.0.9では、技術者が行う想定だったため、とても敷居が高い作業になっていました(設定
つらくないケータイWeb開発(1/2)- @IT
第1回 つらくないケータイWeb開発 設樂 洋爾 2008/10/20 何かと注文の多い日本の携帯電話向けWebサイト構築。jpmobileで、Ruby on Rails流の、つらくない携帯Webサイトを開発しよう(編集部) 本連載では、Ruby on Rails(Rails)をすでに利用されている方を対象に、Rails用プラグインjpmobileを使って携帯向けWebサイトを構築する方法を紹介します。 jpmobileは日本の携帯電話向けのサイトを構築するときに生じる厄介事を、Ruby on Rails流のやり方に倣って解決するためのプラグインです。 Mobile web development that doesn't hurt 日本の携帯電話は「ガラパゴス」と称され、時にやゆされもするように、良くも悪くも独自の進化・発展を遂げてきました。現代人の生活に密着して存在する携帯電話は、位置
Mash up caravan (What's inspire me ?)
わぁ。もう金曜日。月曜日に書き始めたのに。。 Oh, no... 月曜日に名古屋で行われたMash up caravaneでお話してきました。資料、下記にあげてみました。 http://firestorage.jp/download/ca200e07d4025e28b6cef938acca70f4033afbbb 今回20分しかないのに、無謀にもライブコーディングをしたの。RBCは企業じゃなくって、APIを提供しているサービス事業社でもないから。Mash upがすごく技術的には単純な作りであること、特にRailsだったら10分もあればデータのやり取りくらいはすぐにできちゃうことをお伝えしたかったのです。 Mash up は本当に「利用者の視点」とでも言うのかな。生活者の視点かな。技術がどうのこうの、というよりももっと生活の中にとけ込んだもの。複雑や煩雑なものをシンプルに、もてなすこと。情
ニフティ、@niftyサービス用に開発した「Ruby on Railsプラグイン」をオープンソース公開
ニフティは9月10日、インターネットサービス開発者向け情報提供サービス「@niftyウェブサービス」で、@niftyのポータルおよびCGMサービス用に開発した「Ruby on Railsプラグイン」の一部をオープンソースソフトウェアとして公開した。 Ruby on Railsプラグインは、Ruby on Railsで構築したアプリケーションに独自機能を追加するもので、ニフティでは、プログラミング言語「Ruby」の開発者まつもとゆきひろ氏が在籍するネットワーク応用通信研究所と共同で仕様を検討し、開発を行っている。 今回、データベースのテーブルの管理機能を提供する「ActiveRecordBrowser」、静的コンテンツをアプリケーション経由で公開する「FilePublisher」、データベースのスキーマの変更なしにモデルにフィールドを追加する「Acts AS Struct」の3つのRuby
社内向けSNSをオープンソース化 「SKIP(スキップ)」のソースコードを公開 - kuranukiの日記
TIS、企業向けSNS「SKIP(スキップ)」のソースコードを公開 −Ruby、アジャイルなどの最新技術・手法を活用して自社開発したSNSをオープンソース化− http://www.tis.co.jp/news/2008/080519.html http://release.nikkei.co.jp/detail.cfm?relID=189285 この企画自体は、約1年ほど前に立てたんですが、さすが大企業、ここに至るまで1年かかってしまいました。 2005年の秋頃から開発して運用している、うちの社内SNSなんですが、元々は私ともう一人の若者の2人で作ったものでした。 当初は、Ruby on Railsの勉強がてらの意味もあって作ったところもあったんですが、社内ユーザの支持も得られ、会社の施策として認められて、ここにきてようやく表に出すことができるところまできました。 今回公開する社内SNS
TISの社内SNSがオープンソース化! (でぃべろっぱーず・さいど)
JUIのことを書こうかと思いましたが、まずはこちらのニュースから。 うちの会社で利用されている社内SNSがオープンソース化されることが発表されました! TIS、企業向けSNS「SKIP(スキップ)」のソースコードを公開 : 2008年度(ニュースリリース) TIS株式会社 日経プレスリリース プロジェクトの指揮を執られていた(というかコード書いていた)XPのドンこと倉貫さんのブログでも報告されています。 社内向けSNSをオープンソース化するプレスリリースが出ました - kuranukiの日記 いやー、すごい。これはすごいよ。 コードの公開はもう少し先になるみたいですね。 これまでオープンソースなSNSと言えばPHPのOpenPNEがまず挙げられてましたが、それ以上に良いアプリだと思いますので、これを機に社内SNSを導入されてみてはいかがでしょうか。コードはRuby on Railsで書かれ
パフォーマンス大幅向上の「JRuby 1.1」リリース - @IT
2008/04/08 JRubyコミュニティは米国時間の4月5日、「JRuby」の最新バージョン「JRuby 1.1」をリリースした。 JRubyはJavaによるRuby実装で、オープンソースで提供されている。これにより、JavaVM上でRubyを実行させることができる。 バージョン1.1は、2007年1.0以来となる2度目のメジャーリリースという位置付けで、パフォーマンスが大幅に改善された。本家Rubyのバージョン1.8.6を上回るパフォーマンスが実現できているという。また、性能を大幅に高めたRuby 1.9と比較しても、一部のベンチマークでそれを上回るとしている。 また、数千に上る互換性問題の修正やメモリ消費の改善に加え、AOT(Ahead Of Time)およびJIT(Just In Time)両モードでRubyをJavaバイトコードにコンパイルする機能が加わった。また、正規表現ライ
Ruby技術者試験はプロメトリック社による実施へ、4月には海外135か国に配信も:CodeZine
伊藤忠テクノソリューションズ(CTC)は21日、Ruby技術者試験についてプロメトリック社による独占配信契約を結んだと発表した。プロメトリック社はJavaやXMLマスターといったITベンダー系資格の認定試験実施、運営を一手に引き受けている。 試験はコンピュータに答えを入力していくCBT方式で行われ、試験終了後すぐに結果が通知される。1月30日から日本語試験の申し込みを受け付け、2月25日よりプロメトリックが提供する全国200か所以上の会場にて受講できるようになる。また、4月下旬より英語の試験問題が世界135か国に配信される予定となっている。 Ruby技術者試験は2007年10月に開始し、CTCは松江市と東京で紙媒体による試験を3回行ってきた。 【関連リンク】 ・CTC、Ruby技術者認定試験の国内/グローバル配信でプロメトリックと独占契約締結 ・プロメトリック、Ruby技術者認定試験
JSRuby - Javascript による Ruby(っぽい)実装 (nakatani @ cybozu labs)
OreScript時代の幕開け - yukobaの日記 http://d.hatena.ne.jp/yukoba/20071108/p1 巷で OreScript ブームが巻き起こる中、某所ではさらに局地的に Javascript での言語実装ブーム。 ××さんが ******* を試作したり、西尾さんが python4js を試作したりして、うーむこんなおもしろそうなお祭りは看過できんでわないか。Ruby 成分の多い中谷としてはここはやっぱ Javascript で Ruby かっ!? そういえばだれか Javascript でパーサ書いてはったよなあ。それを使わせてもらえば Ruby の構文木をさっくり得られて、ちょこちょこっとインタプリタ書いたら、FizzBuzz くらいなら動くんじゃないの? という思いついてしまったからには、もう作ってみるしか。 というわけで言った者勝ち(笑)の
ただのにっき(2007-06-17): Rabbitを導入する
■ Rabbitを導入する Ruby会議の時に、RabbitがWindowsでもわりとふつーに動くことを知ったので(実際、むとうさんとか、何人かのプレゼンはWindows上のRabbitだったようだ)、須藤君に「じゃあ、今度のプレゼンでRabbit使ってみるよ」と軽く口約束。 そうは言っても、火曜のプレゼンに間に合わせるのは無茶な状況になっちゃったので、とりあえずImpressで書き始めたのだが、ちょっと未練もあったので(逃避がてら)軽く検索していたら、こんなメールを発見してしまった: 会議では、むとうさんのWindowsでも普通にRabbit動くよデモのおかげで、たださんがRabbit使おうかなぁと言っていました。たださんはWiki記法がよいようなので、HikiDocを使ってWiki記法をサポートしようかと思っています。 ぎょえー。そんなこと言われたら、使わざるを得ないじゃないか!! し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Reddit - Please wait for verification
TechCrunch Japanese アーカイブ ? Twitter、Ruby on Railsを放棄か